CERTFR-2025-AVI-0162_Multiples vulnerabilites dans GLPI

AVIS CERT

CERT-FR

Publié le 26 février 2025 à 09h00 - Mis à jour le 28 février 2025 à 17h16

Objet

Multiples vulnérabilités dans GLPI

Référence

CERTFR-2025-AVI-0162

Risque(s)

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Injection de code indirecte à distance (XSS)

Système(s) affecté(s)

GLPI versions antérieures à 10.0.18

Résumé

De multiples vulnérabilités ont été découvertes dans GLPI. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solution(s)

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation(s)

Bulletin de sécurité GLPI GHSA-5vvr-pxwf-3w77 du 25 février 2025 : https://github.com/glpi-project/glpi/security/advisories/GHSA-5vvr-pxwf-3w77
Bulletin de sécurité GLPI GHSA-86cx-hcfc-8mm8 du 25 février 2025 : https://github.com/glpi-project/glpi/security/advisories/GHSA-86cx-hcfc-8mm8
Bulletin de sécurité GLPI GHSA-885x-hvp2-85q8 du 25 février 2025 : https://github.com/glpi-project/glpi/security/advisories/GHSA-885x-hvp2-85q8
Bulletin de sécurité GLPI GHSA-g5fm-jq4j-c2c7 du 25 février 2025 : https://github.com/glpi-project/glpi/security/advisories/GHSA-g5fm-jq4j-c2c7
Bulletin de sécurité GLPI GHSA-qm8p-jmj2-qfc2 du 25 février 2025 : https://github.com/glpi-project/glpi/security/advisories/GHSA-qm8p-jmj2-qfc2
Bulletin de sécurité GLPI GHSA-vfxc-qg3v-j2r5 du 25 février 2025 : https://github.com/glpi-project/glpi/security/advisories/GHSA-vfxc-qg3v-j2r5
Référence CVE CVE-2024-11955 : https://www.cve.org/CVERecord?id=CVE-2024-11955
Référence CVE CVE-2025-21626 : https://www.cve.org/CVERecord?id=CVE-2025-21626
Référence CVE CVE-2025-21627 : https://www.cve.org/CVERecord?id=CVE-2025-21627
Référence CVE CVE-2025-23024 : https://www.cve.org/CVERecord?id=CVE-2025-23024
Référence CVE CVE-2025-23046 : https://www.cve.org/CVERecord?id=CVE-2025-23046
Référence CVE CVE-2025-25192 : https://www.cve.org/CVERecord?id=CVE-2025-25192

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0162/